1.1 通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全

通信網(wǎng)絡(luò)安全與防護(hù)通信技術(shù)與指揮教研室引言：課程內(nèi)涵演化通信網(wǎng)通信安全計(jì)算機(jī)網(wǎng)絡(luò)Internet信息安全計(jì)算機(jī)安全Cyberspace網(wǎng)絡(luò)信息安全計(jì)算機(jī)網(wǎng)絡(luò)安全網(wǎng)絡(luò)空間安全電信技術(shù)與互聯(lián)網(wǎng)技術(shù)的融合：全I(xiàn)P化、QoS、寬帶網(wǎng)絡(luò)攻防演變：不止是技術(shù)，還有安全管理、法規(guī)標(biāo)準(zhǔn)/course/WZU-1450158225溫州大學(xué)《網(wǎng)絡(luò)系統(tǒng)安全》廈門大學(xué)《網(wǎng)絡(luò)空間安全技術(shù)基礎(chǔ)》/course/XMU-1206357803北京理工大學(xué)《網(wǎng)絡(luò)安全——應(yīng)用技術(shù)與工程實(shí)踐》https://www.icourse163.org/course/BIT-1449611164華為《HCIA-Security華為認(rèn)證安全工程師在線課程/portal/courses/coursev1:HuaweiX+EBGTC00000189+2018.9/about教學(xué)資料不僅是一門課程更是一個(gè)領(lǐng)域，安全的范疇很廣泛總學(xué)時(shí)：3222+8+2第一章概述學(xué)時(shí)：4第二章網(wǎng)絡(luò)信息安全學(xué)時(shí)：4第三章網(wǎng)絡(luò)設(shè)備安全學(xué)時(shí)：2+4第四章網(wǎng)絡(luò)攻擊技術(shù)學(xué)時(shí)：4+2第五章網(wǎng)絡(luò)防護(hù)技術(shù)學(xué)時(shí)：4+2第六章網(wǎng)絡(luò)安全協(xié)議學(xué)時(shí)：4考試學(xué)時(shí)：2課程安排課程設(shè)計(jì)第一章概述《通信網(wǎng)絡(luò)安全與防護(hù)》1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全1.2網(wǎng)絡(luò)安全面臨的威脅1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)

1.4PDRR網(wǎng)絡(luò)安全模型

1.5網(wǎng)絡(luò)安全基本原則

主要內(nèi)容通信網(wǎng)是指在一定范圍內(nèi)將通信線（電）路、信道終端、復(fù)用終端、交換設(shè)備、入網(wǎng)接口設(shè)備、網(wǎng)絡(luò)監(jiān)控設(shè)備和各種用戶設(shè)備，按一定方式相互連接，用于達(dá)成通信聯(lián)絡(luò)的網(wǎng)絡(luò)體系。它是信息化社會(huì)的基礎(chǔ)設(shè)施。1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念按使用對象，通信網(wǎng)分為公用網(wǎng)、專用網(wǎng)1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念公用網(wǎng)專用網(wǎng)按通信手段，可分為光纖通信網(wǎng)、微波通信網(wǎng)等1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念光纖通信網(wǎng)衛(wèi)星通信網(wǎng)根據(jù)子網(wǎng)的功能可以分為業(yè)務(wù)網(wǎng)、傳送網(wǎng)和支撐網(wǎng)1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念功能與用途劃分傳送網(wǎng)支撐網(wǎng)業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)是指向公眾提供電信業(yè)務(wù)的網(wǎng)絡(luò)，包括固定電話網(wǎng)、移動(dòng)電話網(wǎng)、互聯(lián)網(wǎng)、IP電話網(wǎng)、數(shù)據(jù)通信網(wǎng)等

1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念固定電話網(wǎng)移動(dòng)電話網(wǎng)互聯(lián)網(wǎng)IP電話網(wǎng)數(shù)據(jù)通信網(wǎng)傳送網(wǎng)是指數(shù)字信號(hào)傳送網(wǎng)，包括骨干傳送網(wǎng)和接入網(wǎng)1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念骨干傳送網(wǎng)接入網(wǎng)支撐網(wǎng)包括信令網(wǎng)、數(shù)字同步網(wǎng)和電信管理網(wǎng)。1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念支撐網(wǎng)包括信令網(wǎng)數(shù)字同步網(wǎng)電信管理網(wǎng)信令網(wǎng)管理網(wǎng)同步網(wǎng)支撐網(wǎng)固定電話網(wǎng)移動(dòng)電話網(wǎng)互聯(lián)網(wǎng)SDH/SONET光傳送網(wǎng)

業(yè)務(wù)網(wǎng)、傳送網(wǎng)和支撐網(wǎng)之間的關(guān)系業(yè)務(wù)網(wǎng)傳送網(wǎng)1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)基本概念根據(jù)子網(wǎng)的位置可以將通信網(wǎng)分為用戶網(wǎng)、接入網(wǎng)和核心網(wǎng)。核心網(wǎng)的作用是交換和傳送。相對于核心網(wǎng)，接入網(wǎng)介于交換設(shè)備和用戶之間，主要完成使用戶接入到核心網(wǎng)的任務(wù)。數(shù)字化寬帶化IP化1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全二、通信網(wǎng)絡(luò)發(fā)展趨勢網(wǎng)絡(luò)安全是指信息的產(chǎn)生、存儲(chǔ)、分發(fā)、傳輸、處理全過程和整個(gè)通信網(wǎng)絡(luò)的信息安全保障。習(xí)近平總書記任中央網(wǎng)絡(luò)安全和信息化小組組長。沒有網(wǎng)絡(luò)安全，就沒有國家安全1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)安全超級工廠病毒（Stuxnet）在2010年7月開始爆發(fā)。第一個(gè)直接破壞現(xiàn)實(shí)世界中工業(yè)基礎(chǔ)設(shè)施的惡意代碼。伊朗核電站等5個(gè)工業(yè)設(shè)施遭到病毒攻擊，上千臺(tái)核電站關(guān)鍵設(shè)施一一離心機(jī)，因“中毒”超速運(yùn)轉(zhuǎn)而損壞，核發(fā)展計(jì)劃被迫延緩兩年。三、網(wǎng)絡(luò)安全1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全2013.6斯諾登事件1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全2013.6斯諾登事件1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全

2016年10月21日，美國東海岸（世界最發(fā)達(dá)地區(qū)）發(fā)生世界上癱瘓面積最大（大半個(gè)美國）、時(shí)間最長（6個(gè)多小時(shí)）的分布式拒絕服務(wù)（DDoS）攻擊。“物聯(lián)網(wǎng)破壞者”（“Mirai”未來）劫持網(wǎng)絡(luò)攝像頭（杭州制造），讓上百萬攝像頭同時(shí)請求訪問互聯(lián)網(wǎng)，造成網(wǎng)絡(luò)堵塞癱瘓。更有進(jìn)一步攻擊，升級為PDoS（永久拒絕服務(wù)攻擊），清除設(shè)備里的所有文件。三、網(wǎng)絡(luò)安全1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全

2017年5月12日爆發(fā)的“WannaCry”的勒索病毒，通過將系統(tǒng)中數(shù)據(jù)信息加密，使數(shù)據(jù)變得不可用，借機(jī)勒索錢財(cái)。病毒席卷近150個(gè)國家，教育、交通、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū)。2018年8月3日，臺(tái)積電遭到勒索病毒入侵，幾個(gè)小時(shí)之內(nèi)，臺(tái)積電在中國臺(tái)灣地區(qū)的北、中、南三個(gè)重要生產(chǎn)基地全部停擺，造成約十幾億美元的營業(yè)損失。三、網(wǎng)絡(luò)安全1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全1、網(wǎng)絡(luò)安全的研究領(lǐng)域信息安全:主要是信息保密網(wǎng)絡(luò)安全防護(hù)：對網(wǎng)絡(luò)入侵的防護(hù)，確保實(shí)體可信、行為可控、資源可管、事件可查、運(yùn)行可靠。人員與網(wǎng)絡(luò)設(shè)施安全1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)安全2、網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)的安全目標(biāo)即為保證在一定的外部環(huán)境下，系統(tǒng)能夠正常、安全的工作而所需實(shí)現(xiàn)的安全特性。主要包括以下5種安全特性（1）保密性（2）完整性:完整性是數(shù)據(jù)或信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過程中保持不被修改、破壞和丟失的特性。1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)安全2、網(wǎng)絡(luò)安全目標(biāo)（3）服務(wù)可用性服務(wù)可用性是一種可被授權(quán)實(shí)體訪問并按需求使用的特性，即當(dāng)需要時(shí)被授權(quán)實(shí)體能否存取所需的信息。（4）可控性可控性是一種對信息的傳播及內(nèi)容具有控制能力的特性。即審計(jì)和跟蹤能力，從而在遭受攻擊可以審查責(zé)任。1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)安全2、網(wǎng)絡(luò)安全目標(biāo)（5）信息流保護(hù)既要防止攻擊者在有用信息的空隙之間插入有害信息，也要防止攻擊者通過監(jiān)聽信息流流向和流量獲取信息。相應(yīng)的保護(hù)措施有信息流填充等。1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)安全以下哪一項(xiàng)不是網(wǎng)絡(luò)安全目標(biāo)？A.完整性B.可用性C.及時(shí)性D.保密性未授權(quán)的實(shí)體訪問系統(tǒng)資源，這樣做破壞了以下哪一個(gè)安全特性？A.可用性B.完整性C.可控性D.保密性1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)安全1.2網(wǎng)絡(luò)安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢1.2網(wǎng)絡(luò)安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施等重要單位防護(hù)能力顯著增強(qiáng)，但DDoS攻擊呈現(xiàn)高發(fā)頻發(fā)態(tài)勢，攻擊組織性和目的性更加凸顯。1APT攻擊監(jiān)測與應(yīng)急處置力度加大，釣魚郵件防范意識(shí)繼續(xù)提升，但APT攻擊逐步向各重要行業(yè)領(lǐng)域滲透，在重大活動(dòng)和敏感時(shí)期更加猖獗。2數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測與預(yù)警防護(hù)能力提升，但數(shù)據(jù)安全防護(hù)意識(shí)依然薄弱，大規(guī)模數(shù)據(jù)泄露事件頻發(fā)。4重大安全漏洞應(yīng)對能力不斷強(qiáng)化，但事件型漏洞和高危零日漏洞數(shù)量上升，信息系統(tǒng)面臨的漏洞威脅形勢更加嚴(yán)峻。31.2網(wǎng)絡(luò)安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢惡意程序增量首次下降，但“灰色”應(yīng)用程序大量出現(xiàn)，針對重要行業(yè)安全威脅更加明顯。5工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全在國家層面頂層設(shè)計(jì)進(jìn)一步完善,但工業(yè)控制系統(tǒng)產(chǎn)品安全問題依然突出，新技術(shù)應(yīng)用帶來新安全隱患更加嚴(yán)峻。7黑產(chǎn)資源得到有效清理，但惡意注冊、網(wǎng)絡(luò)賭博、勒索病毒、挖礦病毒等依然活躍，高強(qiáng)度技術(shù)對抗更加激烈。61.2網(wǎng)絡(luò)安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢網(wǎng)絡(luò)在為人們提供巨大的方便的同時(shí)，受技術(shù)和社會(huì)因素的的影響，一直存在著多種安全缺陷，從而潛在著安全風(fēng)險(xiǎn)，主要包括：(1)物理安全風(fēng)險(xiǎn)(2)操作系統(tǒng)安全缺陷(3)網(wǎng)絡(luò)協(xié)議安全缺陷(4)應(yīng)用軟件實(shí)現(xiàn)缺陷(5)用戶使用中的缺陷(6)惡意程序1.2網(wǎng)絡(luò)安全面臨威脅自然災(zāi)害、物理損壞、設(shè)備故障電磁輻射、乘虛而入、痕跡泄漏操作失誤和疏忽1.2網(wǎng)絡(luò)安全面臨威脅一、物理安全威脅1.2CVE（CommonVulnerabilitiesExposures）-公共漏洞和暴露。就像是一個(gè)字典表，為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出的弱點(diǎn)給出一個(gè)公共的名稱。MS03026MS06040CVE-2014-0160（SSL“心臟出血”漏洞）CVE-2017-8464（Windows系統(tǒng)在解析快捷方式時(shí)存在遠(yuǎn)程執(zhí)行任意代碼的高危漏洞，黑客可以通過U盤、網(wǎng)絡(luò)共享等途徑觸發(fā)漏洞，完全控制用戶系統(tǒng)，安全風(fēng)險(xiǎn)高危）....1.2網(wǎng)絡(luò)安全面臨威脅二、操作系統(tǒng)的安全缺陷1.2網(wǎng)絡(luò)安全面臨威脅二、操作系統(tǒng)的安全缺陷2015年1至6月Android手機(jī)漏洞Top61.2網(wǎng)絡(luò)安全面臨威脅1.2二、操作系統(tǒng)的安全缺陷SNMPHTTPFTPTCPUDPIPARPENET應(yīng)用層運(yùn)輸層網(wǎng)際層物理鏈路層以太網(wǎng)1.2網(wǎng)絡(luò)安全面臨威脅三、網(wǎng)絡(luò)協(xié)議的安全缺陷

由于TCP/IP協(xié)議設(shè)計(jì)之初的目的是使網(wǎng)絡(luò)互連，缺乏安全性上的考慮，因此TCP/IP協(xié)議本身存在一些不安全的地方。如：TCP序列號(hào)預(yù)測；DNS攻擊；網(wǎng)絡(luò)監(jiān)聽（嗅探Sniffer)；ARP病毒；路由協(xié)議缺陷；無線破解。

由于TCP/IP協(xié)議設(shè)計(jì)之初的目的是使網(wǎng)絡(luò)互連，缺乏安全性上的考慮，因此TCP/IP協(xié)議本身存在一些不安全的地方。如：TCP序列號(hào)預(yù)測；DNS攻擊；網(wǎng)絡(luò)監(jiān)聽（嗅探Sniffer)；ARP病毒；路由協(xié)議缺陷；無線破解。1.2網(wǎng)絡(luò)安全面臨威脅三、網(wǎng)絡(luò)協(xié)議的安全缺陷以下哪些協(xié)議屬于網(wǎng)絡(luò)層？AARPBICMPCIGMPDOSPF在交換機(jī)的某個(gè)端口可以嗅探到其它端口傳輸?shù)膸瑔?？A可以

B不可以，因?yàn)榧€器是共享式以太網(wǎng)可以監(jiān)聽，而交換機(jī)是交換式以太網(wǎng)不能監(jiān)聽1.2網(wǎng)絡(luò)安全面臨威脅三、網(wǎng)絡(luò)協(xié)議的安全缺陷IE瀏覽器IISSQLServer200Xrealplay瑞星、賽門鐵克等應(yīng)用軟件是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序，如MicrosoftOffice、InternetExplorer等。軟件實(shí)現(xiàn)缺陷是由于程序員在編程時(shí)沒有考慮周全而造成的。1.2網(wǎng)絡(luò)安全面臨威脅四、應(yīng)用軟件的安全缺陷1.2網(wǎng)絡(luò)安全面臨威脅四、應(yīng)用軟件的安全缺陷OpenSSL心臟出血漏洞

OpenSSL心臟出血漏洞是2014年最危險(xiǎn)的Web漏洞之一，可導(dǎo)致網(wǎng)站服務(wù)器被黑客監(jiān)聽，并在用戶毫無察覺的情況下泄漏姓名、年齡、性別、手機(jī)號(hào)碼、常用地址、身份證號(hào)碼、網(wǎng)銀賬密、購物網(wǎng)站支付密碼等敏感信息。漏洞曝出時(shí)國內(nèi)約有3萬余個(gè)網(wǎng)站受此漏洞影響。1.2網(wǎng)絡(luò)安全面臨威脅四、應(yīng)用軟件的安全缺陷密碼易于被破解軟件使用的錯(cuò)誤系統(tǒng)備份不完整

系統(tǒng)和網(wǎng)絡(luò)是由用戶（管理員）來操作的，由于用戶（管理員）缺乏安全知識(shí)，在使用和維護(hù)系統(tǒng)或網(wǎng)絡(luò)時(shí)給攻擊者提供了可乘之機(jī)是常見的安全問題。用戶使用的缺陷體現(xiàn)在以下幾個(gè)方面：大量打開端口危險(xiǎn)缺省腳本軟件運(yùn)行權(quán)限選擇不當(dāng)1.2網(wǎng)絡(luò)安全面臨威脅五、用戶使用中的缺陷計(jì)算機(jī)病毒（computervirus）熊貓燒香計(jì)算機(jī)蠕蟲（computerworm）Morris特洛伊木馬（Trojanhorse）灰色軟件

上述五種安全威脅其共同特點(diǎn)是它們不是人們故意創(chuàng)造出來的，一般都是在設(shè)計(jì)、實(shí)現(xiàn)或者使用的某個(gè)環(huán)節(jié)出現(xiàn)了差錯(cuò)而無意造成的。而惡意代碼則完全是人為創(chuàng)造出來，對網(wǎng)絡(luò)造成的威脅。1.2網(wǎng)絡(luò)安全面臨威脅六、惡意代碼1.2網(wǎng)絡(luò)安全面臨威脅六、惡意代碼技術(shù)黑灰產(chǎn)：木馬植入、釣魚網(wǎng)站、各類惡意軟件網(wǎng)絡(luò)黑賬號(hào)：多以惡意注冊、虛假認(rèn)證、盜號(hào)